Перейти к публикации

Hunter

Members
  • Публикации

    43
  • Зарегистрирован

  • Посещение

  • Дней в лидерах

    3

Последний раз Hunter выиграл 22 сентября

Публикации Hunter были самыми популярными!

Репутация

42 Excellent

Посетители профиля

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. Hunter

    Fusion - экосистема для финансов.

    DJ написал в телеграме только что бы взломан кошелек с 10кк токенов и их уже льют в стакан на ряде бирж((
  2. видео только по ссылке доступно и лей листа нет(
  3. Тестнет-1 был завершен, кратко об итогах и анонсе нового Тестнет-2 можно прочитать в анонсе https://medium.com/@o1labs/coda-protocol-testnet-beta-retrospective-phase-1-888cb9747612
  4. Coinbase возможно добавят Coda https://blog.coinbase.com/coinbase-continues-to-explore-support-for-new-digital-assets-70419575eac4
  5. О криптоужасе Фантастический, абсолютно невообразимый треш творится в крипто (да, той самой, а не то что вы подумали) индустрии России. Оказывается, не все эллиптические кривые одинаково кривые, если следовать нормам российского законодательства. Например, юридически значимыми считаются документы не подписанные какими-то понятными прозрачными и известными миру функциями ECC вроде sep256k1, Curve25519, Koblitz, а исключительно никому ни разу не известная, с огромной вероятностью насквозь дырявая кривая, описанная в ГОСТ’e 34.10. Алгоритм цифровой подписи — вы не поверите — базируется на самодельной ноунейм хеш-функции. Для неё изобретатели придумали даже название — “Стрибог”. Никаких гарантий отсутствия трэпдоров и вообще намёков на публичный аудит нету. Радует тот факт, что хеш функция построена на конструкции MD, которая хоть и не удовлетворяет современным требованиям безопасности, но имела и имеет широкое мировое использование. При беглом гуглеже нашлось две опубликованные работы, которые показывают уязвимость хеш-функции к некоторым не сильно критичным методам атак, но, боже мой, что вы ещё хотели от изобретателей алгоритма под, блин, названием Стрибог? (для тех, кто чуть-чуть шарит в математике: https://eprint.iacr.org/2015/812.pdf, https://eprint.iacr.org/2014/675.pdf). Но самом деле это совсем не страшно и даже терпимо с поправкой на то, что вас не волнует если кто-то может читать зашифрованные вами файлы или выпускать свои документы от вашего лица. Настоящее нецензурируемое сношение с гусями начинается, если вы захотите начать пользоваться этой советско-русской чудо-юдо-криптографией. Во-первых, получать подпись нужно у специальных сертифицируощих центров. Это примерно как СА в интернете, но их сильно больше, подписи они продают кому угодно и как показывают многочисленные новости в интернете совсем не брезгуют взять да переоформить вашу московскую квартиру на какого-нибудь зека: https://habr.com/ru/news/t/452292/ В принципе тоже не очень страшно по сравнению с тем, что ждет вас дальше. Неконтролируемый беспредел начинается в тот момент, когда вы наконец получили свою драгоценную квалифицированную трижды усиленную намоленную и стоящую как минимум 2000 рублей ($30 за команду “ssh-keygen -t ecdsa -b 521”, Карл!!!). Оказывается публичный и приватный ключ пользователя не просто лежит в зашифрованном виде в вашей папочке /.ssh/.. ой да пусть даже в плейнтексте на рабочем столе — со всем описанным выше это уже разницы особо не делает. Но нет! Для работы с ключами вам нужна лицензия некой магической компании КриптоПРО, которая берет деньги за по идее фундаментально общедоступный софт по работе с приватными ключами, подписанию и прочие утилиты. То есть, они не просто монополизировали существенную и архиважную часть экономики связанную с безопасностью, которая в любой другой точке земного шара intrinsically бесплатно, нет — они сделали это самым небезопасным и отвратительным из всех возможных способов. Мало того, что КриптоПРО не поддерживает фактически ни одну популярную платформу кроме Windows (WTF?!), так на их сайте в разделе SDK нет вообще никаких библиотек, кроме как для PHP. Ребята глубоко и видимо намертво застряли в 2001 году. И на десерт — самый сок, который делает всю систему фактически бесполезной. Оказывается, софт КриптоПРО, то есть единственное решение, которое позволяет работать с PKI, генерировать подписи и работать сертфикатами, даже не опенсорс! Ещё раз, по слогам: софт, который делает все операции с вашей парой ключей не имеет открытых исходников, никогда независимо не аудировался (не считая фсб, выходцы откуда собственно и написали) и никаким образом не может продемонстрировать свою безопасность. То есть ключи сначала попадают в какую-то никем никогда не аудированную софтину, которая с большой вероятностью записывает ваши приватные ключи, отправляет их мошенникам всех мастей и у вас нет никакой возможности как-то обезопасить себя от проприетарного софта. Одним словом, все это было бы кафкианским бредом, если бы не было существующей крипто-практикой.
  6. Можно, https://www.uniswaproi.com/poolsranking А вообще есть ветка отдельная по uniswap там много полезной информации
  7. тема уже есть https://cp0x.com/topic/107-kapli-vozduha-i-prochie-gluposti/page/2/?tab=comments#comment-2748
  8. В чатах всегда паника от тех кто купил на хаях и смотрит как курс возвращается на прежнее дно
  9. Hunter

    nash - DEX

    Nash запустились но чтобы хоть что то протестировать нужно проходит верификацию тир-1, и на сколько я понял нужен реф код для регистрации https://app.nash.io
  10. Об огорчении и воодушевлении 6 месяцев писал статью, чтобы получить возможность купить билет за €500 на абсолютно важнейшую конференцию. Купил гостиницы, билеты, договорился о встречах и даже заказал такси... ну и конечно же не улетел, из-за визы. Это было бы типичным фейсбучным нытьём, если бы это не было строго той проблемой, которой посвящена и конференция, и моя лично работа последний год в составе компании Credentia, а именно — избавление мира от неудобных, неэффективных и небезопасных бумажных документов. Например, для решения моей проблемы с визой пришлось подать документы на Нагатинской, откуда они поедут вечером в консульство на Маяковской, откуда готовый паспорт поедет обратно на Нагатинскую и оттуда курьером ко мне домой на Белорусскую. Другой пример: в ходе заполнения всех тех же документов — специально посчитал — я поставил 24 подписи. Как думаете, хоть одну из них кто-то будет сравнивать с подлинником в паспорте? Не проверить криптографическую подпись процессуально сложнее, чем проверить. На базу существующих технологий и продуктов — пожизненное хранение данных (блокчейн), криптографические доказательства, управление и идентификация ключей, открытые протоколы обмена данными — уже сегодня можно сделать этот же самый процесс в десятки (!) раз быстрее и значительно безопаснее. Это неизбежное будущее, которое сэкономит десятки миллиардов часов бессмысленной бюрократии в год человечеству и сделает мир прозрачнее, эффективнее и безопаснее. Именно этот факт как ни что другое воодушевляет меня работать над этой проблемой.
  11. Прикольная серия серия видео об IoT Bosch
  12. О dPKI Распределнная инфрастуктура публичных ключей необходима для достижения следующих свойств в распределенных системах: • Децентрализация, отсуствие CA или единой точки компроментации/отказа • Гарантия пожизненной неизменности данных (с поправкой на криптостойкость, про это отдельным постом) • Гарантия отсутствия цензуры, запрета доступа DID документы не похожи на криптоактивы в том смысле, что их нельзя передать, однако распределенная сеть идентичности (личности) требует гарантированного подтверждения. 1) DPKI фреймворк (ION, Sovrin, Veres, Remme?) агрегирует DID документы — от 1 до сотен тысяч 2) Операции записываются в адресуемое хранилище (например IPFS) 3) Агрегированный (через например Multihash) указатель записывается в публичную или приватную цепочку (Bitcoin, Ethereum, Hyperledger, whatever) 4) Любая другая нода (пользователь) мониторит публичную (или приватную) цепочку на предмет обновлений 5) Как только она находит интересующую операцию, парсит согласно правилам протокола и находит значение в изначальном CAS хранилище 6) Для гарантии последовательности изменений в документах и их аутентичности протоколы вроде Sidetree используют логику векторных часов (Lamport timestamps) для создания децентрализованного оракула, отвечающего за детерминированную и линейную последовательность операций (как именно это работает тут: https://en.wikipedia.org/wiki/Conflict-free_replicated_data_type В текущем алгоритме речь идёт об инфраструктурном уровне. Сверху на это должны прицепляться механизмы работы с ключами, их проверки, отзыва и восстановления. В следующих постах расскажу об абсолютно крутейших идеях в этом напралении — social key recovery, CRUK (create, read, update, revoke).
  13. Hunter

    nash - DEX

    перенесли( я не понимаю как можно так в прямом смысле кидать свое сообщество https://community.nash.io/t/nash-deployment-ama/7421
  14. О цифровых сертификатах Verifiable Credentials это готовящийся в W3C к глобальному принятию в этом году стандарт цифровых сертификатов. Сертификат это любой факт о субъекте. Например, это может быть ваше имя или возраст, а может быть диплом, аттестат, рецепт, пропуск, билет, удостоверение, лицензия, договор, заявление, заключение, свидетельство, ведомость, награда, грамота, резюме, аккредитация и любой другой документ "о вас". Для нас довольно очевидно, что все эти описанные выше документы должны стать цифровыми, но, как показывает практика развития практически всех инструментов в интернете — стандартом сможет стать только полностью открытая и не принадлежащая никому лично технология. Стандарт цифровых сертификатов не зависит от подписываемой криптографии — хоть ГОСТ, хоть ECDSA, хоть RSA, хоть постквантовые хитрозамороченные ZKP. Стандарт цифровых сертификатов не зависит от способа идентификации — от Госуслуг и ЕСИА до всевозможных DID провайдеров: sov, uport, btcr, v1 и другие. И, главное, цифровые сертификаты не зависят от используемого под ними слоя данных и слоя гарантия целостности этих данных: можно использовать публичные блокчейны Bitcoin, Ethereum, EOS, Waves, это могут быть приватные или государственные закрытые цепочки на Quorum, Multichain, Hyperledger или вообще оффлайн или облачное хранилище данных. А в идеале — некоторая комбинация из перечисленного выше. Какими свойствами обладают цифровые сертификаты? - Они полностью электронные: их нельзя испортить, порвать, потерять или забыть в автобусе. - Они программируемы: сертификат можно отозвать, обновить, заложить логику автопродления или ограничение на количество использований, сертификат может быть дополняемым и изменяемым в течении жизни, а может зависеть от других сертификатов или событий. - На 100% контролируются пользователем. Данные из цифрового сертификата не могут утечь при очередном взломе Сбербанка или Sony, они не хранятся в государственных реестрах и плохо защищенных датацентрах - Высокая масштабируемость: возможность выпускать хоть по 100,000 документов в секунду (эта пропускная способность куда выше нижележащего блокчейна, потому что операции с сертификатами записываются в батчи, и уже группами кладутся в транзакции BTC/ETH) - Значительно сложнее подделать. Безопасность публичной криптографии аудируема и известна, а когда вы последний раз проверяли аутентичность подписи или печати? Проверяли ли вообще хоть раз в жизни? - Значительно сложнее выпустить документ от чужого лица по причинам описанным в предыдущем пункте - Позволяет минимальное раскрытие. Вам не нужно предоставлять паспорт в бар, которому нужно удостовериться в вашей дате рождения — зачем им номер паспорта и ваша прописка? Вы можете выбрать атомарную единицу данных и раскрыть получателю только её - Позволяет нулевое раскрытые. Благодаря возможностям ZKP (доказательствам с нулевой криптографией) возможно доказать факт о себе не раскрывая никаких данных, кроме криптографического доказательства вообще.
×
×
  • Создать...